如果请求来自"内容用户" / API /用户/(例如)如果请求来自单个用户的配置文件对象,是否存在安全隐患?并且在" admin"请求相同的/ API /用户/路由它会返回系统上所有用户的列表吗?
ExpressJS的大多数ACL扩展似乎都是这样设计的:
if role == 'admin' {
return AdminView;
} else {
return error;
}
但他们似乎并没有考虑多个if-else角色方案,例如:
/ API /用户
if (role == 'user') {
return UserProfileObject;
} else if (role == 'teacher') {
return TeacherProfile + ListOfStudents
} else if (role == 'admin') {
return AllUsers;
} else {
return error;
}